Selon un rapport d’IBM, au cours des six derniers mois seulement, les atteintes à la protection des données ont coûté des millions de dollars aux entreprises.

Le rapport 2023 d’IBM sur le coût d’atteinte à la protection des données (IBM’s 2023 Cost of a Data Breach) révèle entre autres que des secteurs comme les banques et l’énergie ont représenté des cibles de choix au cours de la dernière année au Canada, les cyberattaquants perturbant les opérations et extorquant des entreprises.

Le coût d’une atteinte

Parmi les principales constatations du rapport, il appert que les entreprises canadiennes ont dépensé près de 7 millions de dollars (M$) en coût d’atteinte à la protection des données, soit le troisième montant le plus élevé au monde.

Le coût moyen d’un incident est maintenant de 6,94 M$, ce qui ne constitue qu’une faible amélioration par rapport aux 7,05 M$ de l’an dernier.

Les entreprises des secteurs des services financiers et de l’énergie enregistrent les coûts de violation de données les plus élevés. De loin le plus touché au pays, le secteur financier canadien dépense près de 12 M$ en moyenne par incident de violation de données, tandis que le secteur de l’énergie paie en moyenne 9,37 M$.

L’attaque la plus répandue

L’hameçonnage est le type d’attaque le plus courant, mentionne le rapport, représentant 17 % des atteintes subies par les entreprises canadiennes et coûtant en moyenne 6,98 M$.

L’IA en renfort

Seule bonne nouvelle du rapport d’IBM, l’utilisation de l’intelligence artificielle (IA) et de l’automatisation a permis d’identifier et de contenir les violations et de réduire les coûts.

De fait, les organisations canadiennes qui recourent largement à l’IA et à l’automatisation dans leurs opérations de sécurité arrivent à limiter la durée de ces incidents à 33 jours, et paient 1,74 M$ de moins, en moyenne, que les organisations qui n’utilisent pas l’IA et l’automatisation.

Et dans le monde

Aon, un cabinet mondial de services professionnels, a publié récemment son rapport 2023 sur la cyber-résilience (2023 Cyber Resilience Report), révélant qu’en moyenne, un cyber incident majeur a entraîné une baisse de 9 % de la valeur actionnariale – au-delà du marché – dans l’année suivant l’événement.

Ce rapport a été réalisé à partir d’un sondage ayant recueilli les scores d’auto-évaluation CyQu auprès de 2 946 organisations clientes d’Aon dans le monde en 2020 et 2022. L’étude s’est concentrée sur six domaines de risque – cyber, interne, opérationnel, réputationnel, chaîne d’approvisionnement et systémique – dans les secteurs de la finance et de l’assurance, de la santé et de la fabrication.

Parmi les autres fait saillants du rapport, dans les secteurs de la finance et de l’assurance, les réclamations d’assurance sont en hausse, avec une augmentation de 38 % des réclamations liées aux rançongiciels entre le quatrième trimestre de 2022 et le premier trimestre de 2023.

Dans le secteur de la santé, le score global de cyber risque pour les clients est passé de 2,6 à 2,8, sur une échelle de 1 à 4. En 2022, pour les entreprises et les clients mondiaux du secteur de la santé, le profil de risque global est passé de « de base » à « géré », plus de 80 % des entreprises ayant déclaré des scores de 2,5 ou plus.

Enfin, dans le secteur de la fabrication, les données CyQu d’Aon indiquent que le score de risque global est passé de 2,2 à 2,5 – sur une échelle de 1 à 4 – en 2022 pour les clients du marché intermédiaire de l’industrie manufacturière. Cependant, 56 % des entreprises ont déclaré des scores de risque inférieurs à 2,5 en 2022. Le pourcentage médian du budget informatique consacré à la sécurité a également augmenté à l’échelle mondiale, les entreprises déclarant que 8,5 % du budget informatique était consacré à la sécurité.

Des solutions

D’après le rapport d’IBM, la formation des employés reste le meilleur moyen de réduire les coûts de violation de données. Les entreprises canadiennes combinant cette formation avec les renseignements sur les menaces, le chiffrement, la gestion de l’identité et des accès, la chasse proactive aux menaces ainsi que l’IA peuvent réduire considérablement le coût total d’une atteinte.